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OWASP 




countdown to 




Back to the Mac 




Forget about Apple and the Mac!!! 
Tell us about OWASP, please, please! 

Ah... and by the way... 7 inches just aren't 
enough for me ;-) 




OWASP? 



□ ... mas primeiro. 



OWASP, PT.OWASP , IBWAS10 SCia. 



About me (eu, je, ich, jag, 85) 




□ Assistant Professor at ISCTE-IUL (Lisbon 
University lnstitute)/5oTA (School of Technology 
and Architecture)/DCTI 

□ ADETTI-IUL Researcher and Project Manager 

□ Projects. EC, National, Private projects. 

□ QWA5P.PT leader?!?!? 

□ Author. Papers. Books. 

□ Geek. Love technology. Huge fan of gadgets. 

□ OS agnostic. Linux, Mac OS X, Windows. Bring 



them all!!! 
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OWASP? 




□ Open Web Application Security Project 

□ Promove o desenvolvimento seguro de software 

□ Orientado para o desenvolvimento de servigos 
baseados na web 

□ Focado principalmente em aspectos de 
desenvolvimento do que em web-design 

□ Urn forum aberto para discussao 

□ Urn recurso gratuito e livre para qualquer equipa de 
desenvolvimento 




□WA5P, PT. OWASP , IBWAS'10 &Cia. 
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OWASP? 




□ Open Web Application Security Project 

□ an open community dedicated to enabling 
organizations to develop, purchase, and maintain 
applications that can be trusted 

□ Promover o desenvolvimento seguro 

□ Auxiliar a tomada de decisao quanto ao risco 

□ Oferecer recursos gratuitos 

□ Promover a contribuigao e partilha de informagao 




□WA5P, PT. OWASP , IBWAS'10 &Cia. 
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OWASP? 



□ Open Web Application Security Project 

□rganizagao sem fins lucrativos, orientada para esforgo 



f ■ 



voluntano 

■ Todos os membros sao voluntaries 



■ Todo o trabalho e "doado" por patrocinadores 

□ferecer recursos livres para a comunidade 

■ Publicagoes, Artigos, Normas 

■ Software de Testes e de Formagao 

■ Chapters Locais & Mailing Lists 

Suportada atraves de patrocinios 

■ Suporte de empresas atraves de patrocinios financeiros ou de 
projectos 

■ Patrocinios pessoais por parte dos membros 



□WA5P, PT. OWASP , IBWAS'10 &Cia. 
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OWASP? 




□ □ que oferece? 

□ Publicagoes 

□WASP Top 10 

□WASP Guide to Building Secure Web Applications 

Software 

WebGoat 
WebScarab 
oLabs Projects 
.NET Projects 

Chapters Locais 

□rientagao das comunidades locais 
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OWASP? 



Vulnerability 
Scanners 

Static Analysis 
Tools 

Fuzzing 



Automated 

Security 

Verification 



/ \ 

• AppSec Libraries 

• ESAPI Reference 
Implementation 

• Guards and 
Filters 




□WA5P, PT. OWASP , IBWAS'10 &Cia. 




ESAPI 



Security 

Architecture 




Flawed Apps 

Learning 
Environments 

Live CD 
SiteGenerator 



AppSec 

Education 




OWASP? 




□ Top 10 Web Application Security Risks/ 
Vulnerabilities 

□ Uma lista dos 10 aspectos de seguranga mais cnticos 

□ Actualizado numa base anual 

□ Crescente aceitagao pela industria 

■ Federal Trade Commission (US Gov) 

■ US Defense Information Systems Agency 

■ VISA (Cardholder Information Security Program) 

□ Esta a ser adoptado como um standard de 



seguranga para aplicagoes web 
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OWASP? 



Al: Injecgao 



A2: Cross Site 
Scripting (XSS) 



A3: Quebra da 
Autentica^So e da 
Gestao de Sessoes 



A4: References 
Direct as a Ob}ectos 
Inseguras 



AS: Cross Site 
Request Forgery 
(CSRF) 



A6: Configura^ao de 
Seguranca 
Incorrecta 



A7: Falhas na 
Restri^ao de Acesso 
a URL 



A8: 1 

Redirecionamentos ' 
e Encamlnhamentos 

nao-Validados 



A9: Armazenamento 
Criptografico 

Inseguro 



A 10: Protec^ao 
Insuriciente da 
Camada de 

Transporte 



http://www.owasp.org/index.php/Top 10 
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OWASP? 




□ Guia para □ Desenvolvimento Seguro de Web Apps 

□ Oferece urn conjunto de linhas gerais para o 
desenvolvimento de software seguro 

■ Introdugao a seguranga em geral 

■ Introdugao a seguranga aplicacional 

■ Discute areas-chave de implementagao 

■ Arquitectura 

■ Autenticagao 

■ Gestao de Sessoes 

■ Controlo de Acesso e Autorizagao 

■ Registo de Eventos 

■ Validagao de Dados 



□ Em continuo desenvolvimento 




□WA5P, PT. OWASP , IBWAS'10 &Cia. 



2010.E011 



OWASP? 




□ WebGoat 

□ Essencialmente e uma aplicagao de treino 

□ Oferece 

■ Uma ferramenta educacional usada para ensinar e aprender sobre 
seguranga aplicacional 

■ Uma ferramenta para testar ferramentas de seguranga 

□ □ que e? 

■ Uma aplicagao web J2EE disposta em diversas "Ligoes de Seguranga" 

■ Baseado no Tomcat e no JDK 1.5 

□ Orientada para o ensino 

■ Facil de usar 

■ llustra cenarios credfveis ^0 



■ Ensina ataques realistas e solugoes viaveis 
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OWASP? 



□ WebScarab 



Uma framework para analisar trafego HTTP/HTTP5 
Escrito em Java 
Multiplas utilizagoes 

■ Programador: fazer o debug das trocas entre o cliente e servidor 

■ Analista de Seguranga: analisa o trafego e identifica vulnerabilidades 

Ferramenta tecnica 

■ Focada em programadores de software 

■ Arquitectura extensivel de plug-ins 

■ Open source; de facil expansao 

■ Poderosa 

□bter a ferramenta 

■ http://www.owasp.org/5oftware/webscarab.html 



□WA5P, PT. OWASP , IBWAS'10 &Cia. 



□elegagoes OWASP 




□ Desenvolvimento de comunidades 

□ As delegacies locais proporcionam oportunidades 
para os membros OWASP poderem partilhar ideias e 
aprender mais sobre seguranga da informagao 

□ Abertoa*TODOS* 

□ Oferecer urn forum para discussao de assuntos em 
contextos locais/regionais 

□ Oferecer o local para convidados poderem 
apresentar novas ideias e projectos 



□WA5P, PT. OWASP , IBWAS'10 &Cia. 






POCCMH 

Russia 



j 



-J v — s_ 

China 



9 9 



PdDOd N*W 

Guinea 



Indian 
Ocean 



•uth 
Dific 
ean 



PMHDfl 




New 
Zealand 



Map data @2009 Europa Technologies 



18 



Delegacies OWASP 




□ □ que oferecem? 

□ Reunifies (regulares) 

□ Mailing Lists 

□ Apresentagoes e Grupos 

□ Ambientes independentes do vendedor 

□ Foruns de discussao aberta 



□WA5P, PT.OWA5P , IBWAS'10 &Cia. 
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PT.OWASP 



□ ... alguns dados 




OWASP 

Portugal 



□ Membros (ML) 

□ 71 membros 

□ Web-site 

□ http://www.owasp.org/index.php/Portuguese 

□ Mailling-List 

□ owasp-portuguesefcDIists.owasp.org 




□WASP, PT.OWASP , IBWAS'10 &Cia. 



2010.2011 



PT.OWASP 




□ Participacao em alguns dos projectos activos do 
□WASP (documentagao e ferramentas) 

□ Propor o langamento de novos projectos 

□ Promover a discussao de ideias na nossa lista de 
correio electrdnico 

□ Dinamizar a participagao nas nossas reunioes 

□ Organizagao de conferencias 

□ Promover e oferecer suporte a comunidade 
□WASP em geral, em particular a comunidade 



portuguesa 




□WA5P, PT.OWASP , IBWAS'10 &Cia. 
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PT.OWASP 




□ Objectives: 

□ Manter um calendario de reunioes periodicas 

■ Realista: 1 reuniao/evento a cada 3 ou 4 meses 

□ Promover a missao da OWASP 

□ Promover os projectos, ferramentas e documentagao da 
□WASP 

□ Promover a troca e disseminagao livre de informagao 
sobre seguranga de informagao e seguranga de 
aplicagoes e sistemas web-based 

□ Promover o langamento de novas ideias e de novos 
projectos 



□ Envolver os membros em projectos on-going 
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PT.OWASP 




□ A participagao nas reunifies da QWA5P Portugal e 
livre e gratuita 

□ Modelo: aparece e traz um amigo (e ideias para 
partilhar) 

□ Apresentagao sobre um tema 

□ Discussao de uma ideia 

□ Debate de problemas 

□ Langar iniciativas 

□ Planear actividades 
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PT.OWASP 



□ Reunifies periodicas 

□ Blog/Site oficial da OWA5P@PT 

□ http://www.0wa5p.org/index.php/P0rtuguese 

□ Eventos de disseminagao/formagao 

□ Conferencias 

□ Projectos de tradugao de documentagao e 

ferramentas (em conjunto com OWASP Brasil) 

□ Langamento de novos projectos 

□ Estreitar relagoes com OWASP Espanha 



OWASP, PT.OWASP , IBWAS10 SCia. 
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□ 2007 



Nasce □ chapter portugues 
Actividade quase nula 



□ 2008 



□WA5P EU Summit 08 
Albufeira, Algarve, Portugal 



□ 2009 



owasp@IPCB (Castelo Branco), owasp@IPViseu (Viseu), owasp@UBI (Covilha) 
IBWAS'09, Madrid 



□ 2010 



owasp@ISCTE-IUL 

Samy Kamkar, How I met Your Girlfriend, Lisboa 
IBWAS'10, Lisboa 



□ 2011 



OWA5P, PT.OWA5P , IBWAS'10 & Cia. 



2010. 



0WA5P EU SUMMIT 2008 
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□ □ *maior* evento OWASP de sempre 

□ 1 semana, +100 pessoas (de todo o Mundo) 

□ Apresentagao de Projectos 

□ Sessoes de Trabalho 

□ Formagao 

3 + 1 dia de Demo na UAIg 
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OWASP 
EU Summit 
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IBWAS'09 
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□ 1st. OWASP Iberic Web App Sec 2009 

□ Dezembro 2009 

□ Universidade Politecnica de Madrid 

□ Speakers, entre os quais Bruce Schneier 




□WASP, PT.OWASP , IBWAS'10 &Cia. 
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Samy Kamkar - Lisboa 



° Sobre 



http://sarny.pl 
@ samy kamkar 



desenvolveu l 2 worm X55 para 
□ MySpace 

■ 1M utilizadores infectados < 24h 

co-fundador da Fonality, Inc. 

■ produtos de IP PBX 




"think bad, do good" 



n How I met Your Girlfriend 
□ BlackHat 2010 - LV, U5A 

n conjunto de novos ataques descobertos, executados 
atraves da Web, com o objectivo de conhecer 
a vossa namorada ;-) 

D Integrado numa Tour Europeia patrocinada pela 0WA5P 
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IBWAS'lO 



□ 2nd. OWA5P Ibero-American Web App Sec 2010 

□ Novembro 2010 

□ ISCTE-IUL 

25, 26 | Conferencia 

■ Sessoes Tecnicas/Profissionais 

■ Sessoes de Research/Academicas 

27 | Sessoes de Formagao/Tutoriais 



□ http://www.ibwas.com 



□WA5P, PT.OWASP , IBWAS'lO &Cia. 
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IBWAS'lO 



□ 25, 26 | Conferencia 

□ Sessoes Tecnicas/ 
Profissionais 

■ keynotes e sessoes curtas 

Sessoes de Research/ 
Academicas 

■ papers, com avaliagao de 
pares 

□ 27 | Sessoes de Formagao 
Tutorials 

ldia 
1/2 dia 

em processo de escolha 
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IBWAS'lO 




□WA5P, PT.OWA5P , IBWAS'lO &Cia. 
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IBWAS'lO 





□ Como participar: 

propor uma sessao de treino/tutorial (deadline: 
expired) 

■ http://www.owa5p.org/index.php/IBWA510# tab=Training 

submeter uma comunicagao (deadline: 31.Out.2010) 

■ http://www.owasp.org/index.php/IBWA510#tab=Call_for_Papers 

participar numa sessao de treino 

■ http://www.owasp.org/index.php/IBWA510#tab=24th_November_-_Tutorials 

assistira conferencia 

■ http://www.owasp.org/index.php/IBWA510#tab=25th.2F26th_November_-_Conference 

patrocinar 

■ http://ibwa509.netmust.eu/file5/IBWA5 sponsorship.pdf 
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IBWAS'lO 



□ Sponsors 

□ oportunidades de sponsorship 

■ Diamond Sponsor 

■ Platinum Sponsor 

■ Gold Sponsor 

■ Silver Sponsor 

■ Lunch Sponsor 

■ Cofee Break Sponsor 

■ Badge, Lanyard 

■ Notepad 

■ Pen Sponsor 

□ permitem tornar o evento 
progressivamente gratuito 

□WASP, PT.OWASP , IBWAS'lO &Cia. 



ISCTE ' - IUL 

Instituto Universitario de Lisboa 

Lisbon University Institute 

'(fdetti 



MAX DATA 



& NOESIS 
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Finalmente... 



□ ... juntem-se a nos. 

□ Participem! 

Mailing List 
Blog 

Reunifies 
Eventos 
Projectos 
Ideias 

□ Informagao util 

http://www.owasp.org 

http://www.owasp.org/index.php/Portuguese 
http://webappsec.netmust.eu 

□WASP, PT.OWASP , IBWAS'10 &Cia. 
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